中小規模のネットワークの構築例2(その2)

の続きです。

フロアによってデフォルトルートを切り替えるために、ポリシーベースルーティングの設定を行います。

ポリシーベースのルーティングに関しては、下のコンテンツを参考にしてみて下さい。

<関連コンテンツ>

L3SWの詳細図は、下になります。

 それでは、上の構成図を基に設定していきます。設定は、「中小規模のネットワークの構築例1」のコンフィグがベースとなります。

<注意>
 今回、DHCPサーバの配置をVLAN-ISP1に設置していますが、この配置だと、VLAN-ISP1がダウンすると全てのフロアの端末は、DHCPから、IPの払い出しを受け取れなくなります。DHCPサーバを配置する専用のVLANを作成することを検討してください。

●L3SWのVLANインタフェースのIPアドレス

ISP1 : 192.168.1.253
ISP2 : 192.168.2.253
VLAN_1F: 10.1.255.254
VLAN_2F: 10.2.255.254
VLAN_3F: 10.3.255.254
VLAN_4F: 10.4.255.254
VLAN_5F: 10.5.255.254

●L3SW側の設定について

 IPモジュールを有効にするだけで、VLAN間の通信が可能です。インターネットへの接続は、ポリシーベースのルーティングを行い、送信元が4F、5Fのトラフィックは、Ciscoルータに迂回させます。

・フィルターを作成します。

 VLAN_1F~VLAN_5FのIPインタフェースに適用させるポリシーフィルタを作成します。ポリシーフィルタは、フィルタ番号100~199を使う必要があります。

ADD IP FILTER=100 SOURCE=10.1.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 POLICY=3
ADD IP FILTER=100 SOURCE=10.2.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 POLICY=3
ADD IP FILTER=100 SOURCE=10.3.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 POLICY=3

ADD IP FILTER=101 SOURCE=10.4.0.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 POLICY=4
ADD IP FILTER=101 SOURCE=10.5.0.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 POLICY=4

・フィルターをインタフェースに適用します。

作成したフィルターをインターフェースに適用します。

SET IP INT=VLAN-VLAN_1F POLICYFILTER=100
SET IP INT=VLAN-VLAN_2F POLICYFILTER=100
SET IP INT=VLAN-VLAN_3F POLICYFILTER=100
SET IP INT=VLAN-VLAN_4F POLICYFILTER=101
SET IP INT=VLAN-VLAN_5F POLICYFILTER=101

・ポリシーごとに経路を割り当てます。

ポリシーごとにスタティックルートを定義します。

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN-isp1 NEXT=192.168.1.254 POLICY=3
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN-isp2 NEXT=192.168.2.254 POLICY=4

●DHCPリレーの設定

ENABLE BOOTP RELAY

DHCPリレー機能を有効にします。

ADD BOOTP RELAY=ipadd

DHCPリクエストの転送先IPアドレスを指定します。

●ブロードバンドルータの設定について

 ブロードバンドルータでは、10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16、10.5.0.0/16、宛てのパケットが処理できません。この5つの宛先を定義するルートが必要です。

10.1.0.0/16 宛てのパケット ・・・ 192.168.1.253 へ転送
10.2.0.0/16 宛てのパケット ・・・ 192.168.1.253 へ転送
10.3.0.0/16 宛てのパケット ・・・ 192.168.1.253 へ転送
192.168.2.0/24 宛てのパケット ・・・ 192.168.1.252 へ転送
10.4.0.0/16 宛てのパケット ・・・ 192.168.1.252 へ転送
10.5.0.0/16 宛てのパケット ・・・ 192.168.1.252 へ転送

下の図は、ブロードバンドルータに、集約ルートを設定した例です。

●DHCPの設定について

DHCPの定義は、下の表のようになります。

設定パラメータ VLAN_1F VLAN_2F VLAN_3F VLAN_4F VLAN_5F
デフォルトゲートウェイ 10.1.255.254 10.2.255.254 10.3.255.254 10.4.255.254 10.5.255.254
プライマリーDNSサーバ 192.168.1.254 192.168.1.254 192.168.1.254 192.168.1.254 192.168.1.254
サブネットマスク 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0
リース時間 7,200 7,200 7,200 7,200 7,200
リースの範囲

10.1.0.100


10.1.255.253

10.2.0.100


10.2.255.253

10.3.0.100


10.3.255.253

10.4.0.100


10.4.255.253

10.5.0.100


10.5.255.253

 今回は、リースの除外の設定は、しませんが、プールを作成する際は、プールの範囲が各種サーバやルータなどのネットワークデバイスに割り振ったIPアドレスと重複しないように注意してください。

最後にスイッチを設定します。

●スイッチのコンフィグ

create vlan=isp1 vid=101
create vlan=isp2 vid=102
create vlan=vlan_1f vid=10
create vlan=vlan_2f vid=20
create vlan=vlan_3f vid=30
create vlan=vlan_4f vid=40
create vlan=vlan_5f vid=50

add vlan=isp1 port=1
add vlan=isp2 port=3
add vlan=vlan_1f port=5-8
add vlan=vlan_2f port=9-12
add vlan=vlan_3f port=13-16
add vlan=vlan_4f port=17-20
add vlan=vlan_5f port=21-24

enable ip
add ip int=vlan-isp1 ip=192.168.1.253 mask=255.255.255.0
add ip int=vlan-isp2 ip=192.168.2.253 mask=255.255.255.0
add ip int=vlan-vlan_1f ip=10.1.255.254 mask=255.255.0.0
add ip int=vlan-vlan_2f ip=10.2.255.254 mask=255.255.0.0
add ip int=vlan-vlan_3f ip=10.3.255.254 mask=255.255.0.0
add ip int=vlan-vlan_4f ip=10.4.255.254 mask=255.255.0.0
add ip int=vlan-vlan_5f ip=10.5.255.254 mask=255.255.0.0

ADD IP FILTER=100 SOURCE=10.1.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 POLICY=3
ADD IP FILTER=100 SOURCE=10.2.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 POLICY=3
ADD IP FILTER=100 SOURCE=10.3.0.0 SMASK=255.255.0.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 POLICY=3

ADD IP FILTER=101 SOURCE=10.4.0.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 POLICY=4
ADD IP FILTER=101 SOURCE=10.5.0.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 POLICY=4

SET IP INT=VLAN-VLAN_1F POLICYFILTER=100
SET IP INT=VLAN-VLAN_2F POLICYFILTER=100
SET IP INT=VLAN-VLAN_3F POLICYFILTER=100
SET IP INT=VLAN-VLAN_4F POLICYFILTER=101
SET IP INT=VLAN-VLAN_5F POLICYFILTER=101

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN-isp1 NEXT=192.168.1.254 POLICY=3
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN-isp2 NEXT=192.168.2.254 POLICY=4

enable bootp relay
add bootp relay=192.168.1.2

●Ciscoルータのコンフィグ

!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
!
!
interface Ethernet0/0
 ip address 192.168.2.254 255.255.255.0
 no ip directed-broadcast
!
interface Ethernet0/1
 ip address 192.168.1.252 255.255.255.0
 no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 10.4.0.0 255.255.0.0 192.168.2.253
ip route 10.5.0.0 255.255.0.0 192.168.2.253
!
!
line con 0
 transport input none
line aux 0
line vty 0 4
 login
!
end

 ただ、このままだと、ファイヤーウォールの設定をしていないので、セキュリティー面で心配です。ファイヤーウォールの設定は、インターネットの接続点となるルータに設定するか、ファイヤーウォール専用機を導入して、セキュリティー面を強化してください。

クライアント側でも、ウイルス対策ソフトを導入も検討してください。

 インターネットへのトラフィックが増えてきた場合は、マルチホーミングを設定をして、負荷を分散させることで、ある程度、対応できると思います。ISPへの接続点を増やすことで、インターネットへ帯域幅を増やすことが可能です。